Gerencia de Ti

ISACA ®

Reconocida mundialmente como L í der der en el gobierno, control y aseguramiento de TI

Introducti Introduction on - page 1

1

Curso CISA

2005

Capítulo 2 Administración, Planeación y Organización de los Sistemas de Información Lic. Rubén Quintero Ubando, CISA Introducti Introduction on - page 2

2

Contenido • • •

Estrategia de los Sistemas de Información – Planeación Estratégica – Comité de Seguimiento Políticas y Procedimientos – Políticas – Procedimientos Prácticas de Gerencia de Sistemas de Información – Política de seguridad de información – Administración de Personal • • • • • • • •

Contratación Manu Manual al del del Emp Emple lead adoo / Man Manua uall de de ind induc ucci ción ón Políticas de Pr Promoción Entrenamiento Cronogramas y Re Reporte de Ti Tiempo Evalu valuaacion iones del del Des Deseempe mpeño de lo los Empl Emplea eaddos Vacaciones Requeridas Polít olític icas as de Term Termin inac ació iónn de Contr ontraato

• • • •

Estr Estrat ateg egia iass en Aud Audititor oría ía de de Out Outso sour urci cing ng Capac apaciidad dad y Plan Planea eacción del Cre Creccimie imient ntoo Satisfacción del usuario Norm ormas / Pu Punto ntos de refe eferenc rencia ia de la Ind Industr ustria ia

– Prácticas de Outsourcing (Acuerdos de Nivel de Servicio)


3

Contenido •

Prácticas de Gerencia de Sistemas de Información – Gerenciamiento de Cambios de TI • Prác Práctitica cass de Ger Geren enci ciaa Fina Financ ncie iera ra – –

•

Los presupuestos presupuestos de SI Gerencia de de la Calidad Calidad

• Gere Gerenc ncia ia de Segu Seguri rida dadd de de Inf Infor orma maci ción ón • Opti Optimi miza zaci ción ón del del dese deseme mepe peño ño Estruc Estructur tura a Organi Organizac zacion ional al y Respon Responsab sabili ilida dades des de SI

– Roles y Responsabilidades de SI • • • • • • • • • • • •

Operaciones Cintotecario Ingreso de Datos Administ istración de Sis Sistemas Admin dminis istr trac ació iónn de Segu egurid ridad Aseguramiento de Calidad Admin dminis isttrac ración ión de Bas Basees de de Da Datos tos Análisis de Si Sistemas Arquitectura Seguridad Progr rogram amac aciión de aplic plicac acio ionnes Programación del Sistema Administración de Red


4

Contenido •

Estruc Estructur tura a Organiz Organizati ativa va y Respon Responsab sabili ilidad dades es de SI … con contin tinuac uación ión – Segregación de Funciones dentro de SI – Controles de Segregación de Funciones • • • • • • •

Auto utoriz rizaci ación de trans ransac acccion iones Custodia de activos Acceso a los datos Formul rmular ario ioss de auto utoriza rizaci cióón Tabla ablass de auto autorrizac izació iónn de usu usuario ario Cont Contro role less comp compen ensa sato tori rios os por por falt faltaa de segr segreg egac ació iónn de func funcio ione ness Estru tructur tura de la ge gerenc rencia ia de proye royecctos tos –

•

Administración Administración de proyectos proyectos – organigrama organigrama ejemplo

Auditoría de la Administración, Planeación y Organización de SI – Revisión de documentación documentación – Entrevistar al personal y observar el desempeño de sus funciones – Revisión de los compromisos compromisos contractuales


5

Objetivos del Capítulo 2 • Aseg Asegur urar ar que que el el Aud Audititor or de SI enti entien enda da y pue pueda da eval evalua uar: r: Estrategias, Pol í íticas, ticas, Normas, Procedimientos y Pr á ácticas cticas

empleadas para la administración, planeación organización de los Sistemas de Información (SI)


y

6

Aspectos que se cubrirán 1. Evaluar la estrategia y proceso para el desarrollo, implementación y mantenimiento de los SI, para asegurar que apoyen los objetivos de negocio de la organización 2. Evaluar las políticas, normas y procedimientos de SI y los procesos para su desarrollo, empleo y mantenimiento para asegurar que los mismos den apoyo a la estrategia de SI 3. Eval Evalua uarr las las prá práct ctic icas as de adm admin inist istra raci ción ón de de SI para para aseg asegur urar ar cumplimiento con las políticas, normas y procedimientos de SI 4. Evaluar la organización y estructura de SI para asegurar el debido y adecuado apoyo de los requerimientos de negocio de la organ organiza izació ciónn en una una form formaa controlada controlada 5. Evaluar la selección y la administración de servicios de terceros para asegurar que los mismos apoyen la estrategia de SI Introducti Introduction on - page 7

7

Planeación Estratégica en SI • Plan Planea eaci ción ón a lar largo go plaz plazoo (3 (3 a 5 año años) s) para para apal apalan anca carr la mejora de los procesos de negocio, vía la Tecnología de la Información (TI) • La alta alta geren erenccia deb debe id identi entifificcar: ar: – Soluciones de TI eficientes eficientes en costo para resolver problemas de la organización – Desarrollar planes de acción acción para identificar y adquirir los recursos necesarios • Ser Ser aco acord rdee a las las met metas as y obj objet etiv ivos os de la orga organi niza zaci ción ón • SI y Comi Comité té de Seg Segui uimi mien ento to fun función ción clav clavee pa para su desarrollo e implementación Introducti Introduction on - page 8

8

Comi Comité té de Segui eguimi mien ento to • Dire Direcc cció iónn Gen Gener eral al ... ... res respo pons nsab able le de desi design gnar arlo lo • Meca Mecani nism smoo para para aseg asegur urar ar que que las las fun funci cion ones es y act activ ivid idad ades es de SI SI,, estén en armonía con misión y objetivos corporativos • Reco Recome mend ndab able le que que el Pr Pres esid iden ente te del del Comi Comité té sea sea miem miembr broo del del Consejo de Administración, y que éste entienda los riesgos y problemas de TI • Integ Integra rado do por por mie miemb mbro ross de de Dir Dir.. Gra Gral.l.,, Sis Sistem temas as y Usua Usuaririos os • Debe Debere ress y resp respon onsa sabi bililida dade dess en en doc docum umen ento to form formal al • Miem Miembr bros os debe debenn con conoc ocer er polít polític icas as,, prác práctitica cass y proc proced edim imie iento ntoss de de SI


9

Comi Comité té de Segui eguimi mien ento to • Miem Miembr bros os debe debenn tene tenerr auto autoririda dadd p/to p/toma marr deci decisi sion ones es p/áreas respectivas • Orie Orient ntar arse se a rev revis isar ar proy proyec ecto toss imp impor orta tant ntes es • No invo involu lucr crar arse se en oper operac acio ione ness rut rutin inar aria iass • Reci Recibi birá rá info inform rmac ació iónn del del Depa Depart rtam amen ento to SI SI,, Usua Usuaririos os y Auditoría que le facilite llevar sus funciones con efectividad • Mant Manten ener er acta actass de de reu reuni nion ones es para para docu docume ment ntar ar actividades y decisiones, y para informar al Consejo de Admón.


10

Comi Comité té de Segui eguimi mien ento to Principales funciones: • Revi Revisa sarr plan planes es lar largo go y cor corto to pla plazo zo aco acord rdes es con con obj objet etiv ivos os cor corpo pora ratitivo voss • Revi Revisa sar/ r/Ap Apro roba barr adqu adquis isic icio ione ness impo import rtan ante tess de Hw/ Hw/Sw Sw,, dent dentro ro de de límite límitess aprobados por Junta Directiva • Aproba Aprobar/M r/Moni onitor torear ear proyec proyectos tos de alta alta relevan relevancia cia,, establ establece ecerr priori prioridad dades, es, aprobar normas y procedimientos • Monito Monitorea rearr dese desempe mpeño ño de SI y repo reporta rtarr sus sus activi actividad dades es a la la Junt Juntaa Dire Directi ctiva va • Revi Revisa sarr y apro aproba barr los los plan planes es de outs outsou ourc rcin ingg (tot (total al o par parci cial al)) • Servi ervirr de de enl enlac acee ent entre re Ár Área ea de SI y usu usuar ario ioss • Moni Monito tore rear ar situ situac ació iónn de plan planes es y pro proye yect ctos os anua anuale less • Revi Revisa sarr qué qué recu recurs rsos os y asign asignac ación ión son son adec adecua uado doss en func funció iónn de tiem tiempo po,, personal y equipos • Toma Tomarr ddec ecis isio ione ness sob sobre re cen centr tral aliz izac ació iónn vs vs desc descen entr tral aliz izac ació iónn y asig asigna naci ción ón de responsabilidades • Sopo Soport rtar ar el el desa desarro rrollo llo e imp imple leme ment ntac ació iónn del del progr program amaa de admi admini nist stra raci ción ón de de seguridad de la información Introducti Introduction on - page 11

11

Políticas y Procedimientos Políticas

• Documentos de alto nivel • Filos Filosof ofía ía cor corpo pora rativ tivaa y pen pensa sami mient entoo estr estrat atég égic icoo de Pr Prop opie ietar tario ioss del Negocio y Alta Gerencia • Para ara ser ser efec efectitivvas ... ... Cla Clara rass y conc concis isas as • La Admi Admini nist stra raci ción ón ... resp respon onsa sable ble de form formul ular ar,, des desar arro rollllar ar,, documentar, promulgar y controlaras • Gere Gerenc ncia ia ... Resp Respon onsa sabl blee de de aseg asegur urar arse se de que que emp emple lead ados os reciban explicación de éstas y las entiendan • Actu Actual aliz izar arla lass para para refl refleja ejarr nuev nuevaa tecn tecnol olog ogía ía y camb cambio ioss significativos en organización • Adem Además ás de las las cor corpo pora ratitiva vas, s, los los dep depar artam tamen ento toss deb deben en defin definirir otras a un nivel más bajo, para aplicarse a los empleados y a nivel operativo


12

Políticas y Procedimientos Procedimientos • Documentos de detallados • Deri Deriva vado doss de de la la pol polítític icaa cor corre resp spon ondi dien ente te • Escr Escrib ibirirlo loss en en for forma ma clar claraa y conc concis isaa ... ... par paraa ser ser comprendidos fácil y correctamente • Docu Docume ment ntan an proc proces esos os de nego negoci cioo y cont contro role less int integ egra rado doss • Más Más diná dinámi mico coss que que las las polí polítitica cass ... ... refl reflej ejan an camb cambio ioss en enfoque de negocio y medio ambiente • Revi Revisa sarlrlos os y act actua ualiliza zarlrlos os frec frecue uent ntem emen ente te • Si se desc descui uida da esto esto,, el audi audito torr enc encon ontr trar aráá dive diverg rgen enci ciaa entre la práctica y el precepto Introducti Introduction on - page 13

13

Políticas y Procedimientos Procedimientos • Los Los proc proced edim imie ient ntos os son son revi revisa sado doss y sus sus cont contro role less evaluados para: – Asegurarse que los procesos procesos de negocio son son tan eficientes y prácticos como es posible y – Que estos han sido comprendidos comprendidos y correctamente correctamente ejecutados • Los Los con contr trol oles es no se podr podrán án iden identitififica carr fác fácililme ment ntee o asegurar que están en operación, cuando hay discrepancia entre la práctica y procedimientos o cuando no están documentados Introducti Introduction on - page 14

14

Prácticas de Gerencia de SI Política de seguridad de información • Comu Comuni nica ca un un está estánd ndar ar de de segu seguririda dadd cohe cohere rent ntee a los los usua usuario rios, s, ger geren enci ciaa y personal técnico • Pr Prim imer er paso paso para para cons constr trui uirr una una infr infrae aest stru ruct ctur uraa de de seg segur urid idad ad • A men menud udoo fija fijann las las her herra rami mien enta tass y proc proced edim imie ient ntos os que que nec neces esititaa la organización • Bala Balanc ncea earr nive nivell de contr ontrol ol vs prod produuctiv ctivid idad ad • La cult cultur uraa org organ aniz izat ativ ivaa jug jugar araa pap papel el impo import rtan ante te en su dise diseño ño e implementación • Debe Debe ser ser apr aproobada bada por por la la alta alta geren erenccia • Docu Docume ment ntar arla la y comu comuni nica carlrlaa a tod todos os los los emp emple lead ados os y pro prove veed edor ores es • Debe Debe ser ser usad usadaa por por lo aud audititor ores es de Ti Ti com comoo un un mar marco co de refe refere renc ncia ia para su trabajo, trabajo, así como revisar revisar si esta esta es adecuada adecuada y correcta correcta


15

Prácticas de Gerencia de SI Administración de Personal • Polí Polítitica cass y Pr Proocedi cedimi mieentos ntos para para:: – Contratación – Promoción – Retención – Terminación de contratos • Esta Estass imp impac acta tann la la cal calid idad ad del del per perso sona nall y su desempeño


16

Prácticas de Gerencia de SI Administración de Personal • Contratación – Importante para “asegurar” elección del personal más eficiente y efectivo y para respetar requisitos legales. Incluir: • • • • •

Veri Verififica caci ción ón de de ante antece cede dent ntee Acue Acuerd rdos os de de conf confid iden enci cial alid idad ad Fianzas Acue Acuerd rdos os para para con conflflic icto to de de inte intere rese sess Acuer Acuerdos dos no-com no-compet petenc encia ia y exclus exclusivid ividad ad

– Riesgos • Person Personal al no adec adecuad uadoo para para la posic posición ión que que fue fue reclut reclutado ado • No se veri verififica cann ref refer eren enci cias as • Person Personal al tempo temporal ral o exter externo no introd introduce uce ries riesgos gos difí difícil ciles es de controlar • Falta Falta de conc concien iencia cia de de requer requerimie imiento ntoss de confi confiden dencia cialida lidadd comprometan ambiente de seguridad general Introducti Introduction on - page 17

17

Prácticas de Gerencia de SI Administración de Personal

• Manual de del Em Empleado (I (Inducción) – Distribuirlo cuando se contrata. – Incluir: • • • • • • • •

Polí Polítitica cass y pro proce cedi dimi mien ento toss de de seg segur urid idad ad Expe Expecctati tativvas de la compa ompaññía Beneficios pa para em empleados Polí Polítitica cass de de vac vacac acio ione ness y días días feri feriad ados os Regl Reglas as de tiem tiemppo ext extra ra / hor horar ario ioss Contratación externa Evaluaciones de del de desempeño Accion Acciones es discip disciplin linari arias as (ausen (ausencia ciass excesi excesivas vas,, violac violación ión de confidencialidad o seguridad, incumplimiento de políticas) • Código de de co conducta (é (ética)


18

Prácticas de Gerencia de SI Administración de Personal • De Promoción – Ser justas y comprendidas por empleados – Basada en criterios objetivos y considerar desempeño, entrenamiento, experiencia y nivel de responsabilidad • Aseg Asegur urar arno noss de de que que exis exista tann y que que se ajus ajuste tenn a ést éstas as


19

Prácticas de Gerencia de SI Administración de Personal • Entrenamiento – Recibirlo sobre bases justas y regulares – Para cubrir experiencia y conocimientos – En SI ... Indispensable por ritmo de cambios – Promueve uso más efectivo y eficiente de recursos – Fortalece moral del empleado – Abarcar Alta Dirección, Administración y Técnicos – Entrenamiento cruzado (back-up personal clave, disminuir dependencia, plan de sucesión) – Evaluar riesgo de que un empleado conozca varias partes de un sistema/proceso Introducti Introduction on - page 20

20

Prácticas de Gerencia de SI Administración de Personal • Cronogramas – Promueven mejor uso de los los recursos de TI • Reporte de Tiempos – Permite a la Gerencia monitorear monitorear desarrollo del proceso – Indicador que ayude a determinar determinar si el personal es el adecuado Introducti Introduction on - page 21

21

Prácticas de Gerencia de SI Administración de Personal • Eval Evalua uaci ción ón del del Des Desem empe peño ño de los los Emp Emple lead ados os – Debe ser norma habitual para personal personal de SI – Gerente y empleados empleados ... fijar metas de común acuerdo – Proceso Objetivo y Neutral ... si evaluación evaluación es vs metas acordadas – Base para aumentos, bonificaciones, bonificaciones, promociones promociones – Aprovechar p/calibrar aspiraciones, aspiraciones, satisfacción satisfacción del empleado e identificar problemas Introducti Introduction on - page 22

22

Prácticas de Gerencia de SI Administración de Personal • Vacaciones Re Requeridas – “Una vez al año, alguien hará una función de trabajo que norm normal alme mente nte no no hace hace”” (vis (visió iónn de con contr trol ol)) – Reduce posibilidades de actos indebidos o ilegales ilega les – Posibilidad de descubrir actividad irregular (si no hay colusión)

• Rotación del Trabajo – Control para que alguien, que no realiza regularmente un trabajo, detecte irregularidades (actos indebidos, maliciosos o fraudulentos) Introducti Introduction on - page 23

23

Prácticas de Gerencia de SI Administración de Personal • Políticas de Te Terminación – Pasos para la separación de empleados y protección adecuada de activos, sobre todo: información – Incluir: • • • • • • • •

Termin Terminaci ación ón volunt voluntari ariaa e involunta involuntaria ria (desp (despido idoss inmedia inmediatos tos)) Escolt coltaar al empl emplea eado do Devolu Devolució ciónn de llaves/ llaves/tar tarjet jetas as de de acces accesoo físic físicoo Elimi limina narr log logon ID ID´s ´s y con contr tras aseñ eñas as Notific Notificar ar al rest restoo del del pers persona onall y a Segu Segurid ridad ad Pagos Pagos finale finaless p/el p/elimi iminar narlo lo de de plan plantil tilla la vige vigente nte Entr Entrev evis ista ta de term termin inac ació iónn Devo Devolu luci ción ón de bien bienes es de la empr empres esaa


24

Prácticas de Gerencia de SI Prácticas de Outsourcing – Acuerdo contractual para entregar a un tercero, parte o todas las funciones – Indispensable administración efectiva de acuerdos contractuales – Honorarios y nivel de servicios definidos en contrato – El tercero proporciona recursos, experiencia y conocimientos p/realizar el servicio acordado – Estar conscientes de los riesgos asociados – Meta principal ... Mejora duradera y significativa en SI, sacando provecho de las capacidades del externo


25

Prácticas de Gerencia de SI Prácticas de Outsourcing – Principales razones: • • • •

Enfo Enfoca cars rsee a las las acti activi vida dade dess cent centra rale less Márge árgene ness de gan gananc ancia Aume Aument ntar ar comp compet eten enci ciaa reduc reducie iend ndoo costo costoss Flexib Flexibilid ilidad ad resp respect ectoo organ organiza izació ciónn y estr estruct uctura ura

– Servicios contratados pueden incluir: • • • • • •

Captura datos Dise iseño y desarrollo llo Mant Manten enim imie ient ntoo de aplic aplicac acio ione ness Conv Conver ersi sión ón de apli aplica caci cion ones es Help Desk – Call Center Cent Centro ro de proc proces esoo de de dat datos os Introducti Introduction on - page 26

26

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing Ventajas: – Economías de escala vía sw reutilizable – Outsourcer se dedica más tiempo y concentrarse efectiva y eficientemen eficientemente te en un proyecto proyecto vs personal personal de planta planta – Outsourcer tienen más experiencia con un conjunto más amplio de de problemas, problemas, aspectos aspectos y técnicas técnicas vs personal personal de planta – La existencia de un contrato, puede generar mejores especi especifica ficacio ciones nes vs desarr desarroll ollada ada interna internamen mente te – Errores sustancialmente menores porque los outsourcer son más sensibles a los cambios/modificaciones que absorben tiempo


27

Prácticas de Gerencia de SI • Práctic ticas de de Ou Outsourcing ing Desventajas: – – – – – – –

Costos exceden expectativas del cliente Se pierde experiencia interna en el área de SI Se pierde control sobre el área de SI Falla del proveedor Acceso limitado al producto Dificultad para cambiar acuerdos/contratos Deficiente cumplimiento de requerimientos legales


28

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Contratar un Outsourcing Outsourcing exige que la Gerencia Gerencia revise el marco de control en el que puede confiar – No es sólo una decisión decisión de costo, también también estratégica – Tiene muchas implicaciones implicaciones de control Calidad en el servicio Garantías de continuidad del servicio Procedimientos de control Ventaja competitiva Conocimientos técnicos ¿ Estrat Estrategi egiaa a Largo Largo Plazo Plazo ? Compatibilidad Compatibilidad con cultura Introducti Introduction on - page 29

29

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Acuerdos de nivel de servicio servicio (SLA) importante para calidad y cooperación futura • Medios Medios contra contractu ctual al para para administ administrar rar recurs recursos os de información bajo control de un proveedor • Esti Estipu pula lann y com compr prome omete tenn al prov provee eedo dorr • Garant Garantiza izarr un nivel nivel míni mínimo mo de de desem desempeñ peñoo y un nive nivell específico de soporte • Regl Reglam amen enta tann pena penass y sanc sancio ione ness • Inst Instru rume ment ntoo de co contr ntrol • ¿ Outsourcer de otro país ? … conciente de la legislación transfronteriza


30

Prácticas de Gerencia de SI • Práctic ticas de de Ou Outsourcing ing Riesgos de negocio asociados al Outsourcing : – – – – –

Costos ocultos Incumplimiento de acuerdos Costo del servicio no competitivo a lo largo del contrato Sistemas del proveedor obsoletos Que el poder se sitúe en el proveedor


31

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing ¿Cómo se puede reducir los riesgos de negocio asociados al Outsourcing?: – – – – – – – – – – –

Establecer metas y retribuciones retribuciones de sociedad compartida compartida medibles medibles Utilizar más de un proveedor proveedor Retener una parte del del negocio como un incentivo incentivo Formar un equipo de funciones cruzadas cruzadas de administración administración del contrato Establecer métricas o indicadores indicadores de desempeño desempeño Revisiones periódicas periódicas Establecer tendencias tendencias de carácter competitivo Implementar contratos de corta duración duración Tratar la propiedad propiedad de los datos en el contrato contrato Cláusulas de confidencialidad confidencialidad Exigir medidas medidas y cumplimiento legal legal del nivel de seguridad seguridad


32

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Los contratos deben incluir la descripción de negociación del medio, métodos, procesos, estructura y control de calidad – Algunas de las preocupaciones de Auditoria: • • • • • • • • • •

El con contr trat atoo debe debe pro prote tege gerr a la la comp compañ añía ía Derech Derechoo de audita auditarr las las oper operaci acione oness del del prove proveedo edorr Ofrece Ofrecerr conti continui nuidad dad del servic servicio io en caso caso de desa desastr stree Integr Integrida idad, d, confi confiden dencia cialida lidadd y dispon disponibil ibilida idadd de datos datos de de empresa Falta Falta de lealta lealtadd con con el clien cliente te / desco desconte ntento nto con con el arre arreglo glo Contro Controll acceso acceso/Ad /Admón món.. seguri seguridad dad contro controlad ladoo por provee proveedor dor Contro Controll de camb cambios ios y prueba pruebass contr controla olado do por por el prove proveedo edorr Report Reportes es de viola violació ciónn y seguimie seguimiento nto contr controla olado do por prov proveed eedor or Red Red con contr trol olad adaa por por el prov provee eedo dorr Adminis Administra tració ciónn del desem desempeñ peñoo contro controlad ladoo por prove proveedo edorr Introducti Introduction on - page 33

33

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Estrategias en Auditoría Auditoría de Outsourcing Outsourcing • Solicit Solicitar ar peri periódi ódicam cament entee un repo reporte rte de audit auditorí oríaa de un un tercero – Garantía sobre los controles implementados – Abarque problemas relacionados relacionados con confidencialidad, disponibilidad e integridad de datos

• Revi Revisi sión ón per perió iódi dica ca por por un un audit auditor or inte intern rnoo


34

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Capacidad y Planeación del del crecimiento • Dada Dada la impor importan tancia cia estr estraté atégic gicaa de la la TI y sus sus cons constan tantes tes cambios: – Planear la capacidad y el el crecimiento en TI es esencial esencial – Refleja planes a corto y largo plazo – Considerar esto al elaborar el presupuesto de SI


35

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Satisfacción del Usuario Usuario • Satisf Satisface acerr requer requerimie imiento ntoss del usuar usuario io ... Indi Indispe spensa nsable ble para asegurar una operación efectiva de procesamiento de información • SI ... acor acorda dará rá un nive nivell de de ser servi vici cioo con con usua usuaririos os (disponibilidad o tiempo de distribución del producto) • Auditar Auditar periód periódica icamen mente te cump cumplimi limiento ento del nivel nivel de servicio


36

Prácticas de Gerencia de SI • Prácticas de de Ou Outsourcing – Normas / Puntos de referencia referencia de la Industria • Refere Referenci ncias as que ayudan ayudan a deter determin minar ar el nive nivell de de desempeño en ambientes similares de TI • Pueden Pueden ser ser obteni obtenidas das de de los prov proveed eedore ores, s, public publicaci acione oness de la industria y asociaciones profesionales


37

Prácticas de Gerencia de SI Gere Gerenc ncia iami mien ento to de cam cambi bios os de de TI • Admi Admini nist stra rarlrlos os medi median ante te un un pro proce ceso so def defin inid idoo y documentado • Iden Identitififica carr y apli aplica carr mej mejor oras as en infr infrae aest stru ruct ctur uraa y aplicaciones • Mant Manten ener erse se a la vang vangua uard rdia ia para para intr introd oduc ucirir mejor mejoras as significativas en los procesos de negocio


38

Prácticas de Gerencia de SI Prácticas de Gerencia Financiera • Elem Elemen ento to crít crític icoo en en tod todas as las las fun funci cion ones es del del neg negoc ocio io • Un esqu esquem emaa de de pag pagos os del del usu usuar ario io (C (Cha harg rgeb ebac ack) k) ayud ayudaa a mejorar la aplicación y monitoreo de recursos limitados • Los Los cos costos tos de pers person onal al,, tiem tiempo po máqu máquin inaa y otro otross se se car carga gann a los los usuarios, de acuerdo a una fórmula • Herr Herram amie ient ntaa par paraa med medirir efec efectitivi vidad dad y efi efici cien enci ciaa del del serv servic icio io brindado • El pres presup upue uest stoo per permit mitee pro prono nost stic icar ar,, mon monito itore rear ar y ana analiliza zarr la la información financiera, y asignar recursos adecuadamente


39

Prácticas de Gerencia de SI Gere Gerenc ncia iami mien ento to de la Cali Calida dadd • Medi Medioo par paraa con contr trol olar ar los los pro proce ceso soss (“c (“con onju junt ntoo de de tar tarea eass que que cuando son realizadas debidamente, producen resultados deseados”) • Ar Area eass de de SI SI que que pued pueden en requ requer eririr admi admini nist stra rarr su cali calida dad: d: – – – – – –

Desarrollo, mantenimiento e implementación implementación de SW Adquisición de HW y SW SW Operación diaria Seguridad Administración de recursos humanos Administración general


40

Prácticas de Gerencia de SI Gere Gerenc ncia iami mien ento to de la Cali Calida dadd • Desa Desarr rrol olla larr y man mante tene nerr proc proced edim imie ient ntos os defi defini nido doss y documentados es evidencia de un gobierno efectivo de los recursos de TI • Las Las nor norma mass de de cal calid idad ad se se está estánn usan usando do cada cada vez vez más más para para asistir a las empresas para lograr un entorno operativo predecible, mesurable, repetible y certificado – La Organización Internacional para la Estandarización proporciona los estándares más reconocidos y aceptados: • ISO 9001:2000 • IS ISO O 912 91266 (ca (calilida dadd de de pro produ duct ctos os de sw) sw)


41

Prácticas de Gerencia de SI Gere Gerenc ncia iami mien ento to de la Cali Calida dadd • Las Las áre áreas as cuya cuyass fun funci cion ones es debe debenn ser ser pued pueden en ser ser revisadas son: – – – – – – – – –

Operaciones Software del sistema Adquisición y mantenimiento de hw y sw Software de aplicación Reporte de Gerencia Seguridad física y lógica Planeación a corto y largo plazo Reporte de tiempos Administración de recursos humanos Introducti Introduction on - page 42

42

Prácticas de Gerencia de SI Gere Gerenc ncia iami mien ento to de la Cali Calida dadd • ISO 9001:2000 – Manual de Calidad: Cláusula 4.2.2. Establecer y mantener un manual de calidad, con procedimientos documentados – Recursos Humanos: Cláusula 6.2. El personal que realiza los trabajos que afecten la calidad, deben ser competentes sobre bases de educación, entrenamiento, habilidades y experiencia – Compras: Cláusula 7.4. Fuerte control sobre las compras, evaluando al proveedor, usando procesos definidos y documentados


43

Prácticas de Gerencia de SI • Geren erenci ciaa de de Seg Segur urid idad ad de Info Inform rmac ació iónn

– Función rectora para garantizar garantizar que la información y los recursos de procesamiento estén debidamente protegidos – Implementar un programa de de seguridad de TI a nivel organización organización que incluya un Plan de Continuidad del Negocio y Plan de Recuperación de Desastres

• Optim timizaci zación ón del del dese desem mpeño eño – – – – –

Proceso dinámico Ambiente complejo y cambiante cambiante Los sistemas tradicionales tradicionales pueden dar señales equivocadas Hay muchas variables variables que afectan el desempeño Fases genéricas de medición medición del desempeño: 1. 2. 3. 4.

Establ Establece ecerr y actual actualiza izarr las medida medidass Estab Establec lecer er respo responsa nsabil bilida idades des de de las med medida idass Recole Recolecta ctarr y anali analizar zar los datos datos del del dese desempe mpeño ño Repo Report rtar ar y usa usarr la la inf infor orma maci ción ón Introducti Introduction on - page 44

44

Prácticas de Gerencia de SI • Optim ptimiizaci zacióón del del desem esempe peñño

– Las advertencias sobre las medidas de desempeño incluyen: • Error de medición. Las medidas convencionales no dan cuenta de los datos y resultados • Retrasos. Tiempo entre la ejecución ej ecución del gasto y el reconocimiento del beneficio, no debidamente reportados en las medidas corrientes • Redistribución. La TI se utiliza para redistribuir la fuente de los costos en las empresas; no hay diferencia en el producto total, sólo en el medio de obtenerlo administración. La falta de medidas explícitas del valor de la • Mala administración información, lo hacen vulnerable a una asignación equivocada y a consumo excesivo de los gerentes

– Hay 5 usos de las medidas de desempeño: • • • • •

Medir prod roductos y servicio icioss Adm Adminis inistr trar ar prod produc ucto toss y ser servvicio icioss Asegurar la la rreesponsabilid lidad Tom Tomar decis ecisio ione ness de de pre pressupue upuest stoo Optimizar el desempeño


45

Estructura Organizacional y Responsabilidades de SI Gerente de TI o CIO

Seguridad y Control

Aplicaciones

Datos

Administrador de Seguridad y Control de Calidad

Desarrollo / Administración de Soporte

Administrador de Datos / Administrador De B.D.

Programadores y Analistas de Aplicaciones

Soporte Técnico

Operaciones

Administrador de Soporte Técnico

Administrador de Operaciones

Administrador de Redes Administrador de Sistemas


Programadores y Analistas de Sistemas

Cintotecario Operador de Computadora / Captura de datos

46

Estructura Organizacional y Responsabilidades de SI • Rol Roles y Re Responsabilidades de de SI SI – Organigramas … elementos importantes – Empleados deben conocerlos – Describen la jerarquía y autoridad del departamento – La descripción de puestos puestos brindan orientación orientación sobre roles y responsabilidades – Determinar si la descripción descripción de tareas y estructura estructura son adecuadas


47

Estructura Organizacional y Responsabilidades de SI Operaciones • •

Inst Instal alac ació iónn de Pr Proc oces esam amie ient ntoo de Info Inform rmac ació iónn Pers Person onal al para para oper operar ar equi equipo poss efic eficie ient ntee y efec efectitiva vame ment ntee – C omputadora, periféricos, periféricos, medios magnéticos magnéticos y datos almacenados almacenados – Impacta en la capacidad capacidad de la empresa para para funcionar eficazmente eficazmente – Acceso sólo a personal personal autorizado autorizado – Controles administrativos administrativos • Seguridad Física • Seguridad de de da datos • Cont Contro role less de proc proces esam amie ient ntoo

• Grupo de Control – Recolecta, convierte y controla ingreso de datos datos – Balance y distribución distribución de resultados resultados a usuarios – Área restringida restringida ya que se manejan manejan datos sensitivos


48

Estructura Organizacional y Responsabilidades de SI

Cintotecario • Regi Regist stra rar, r, emit emitiir, reci recibi birr y custo ustodi diar ar progr rograamas mas y datos mantenidos en dispositivos de almacenamiento (cartuchos, cintas, discos) • Pueden usar sw de ayuda para inventario y manejo de dispositivos • Cont Contro rola la vers versiiones ones de pro program gramas as y admi adminnistr istraa la configuración de programas


49


Ingreso de Datos • Esquema me menos fr frecuente:

– Recibir documentos fuente fuente y asegurar su custodia hasta terminar terminar el procesamiento, para devolverlos juntos con resultados – Preparar lotes de documentos documentos con cifras control control – Preparar cronogramas y trabajos para procesar datos datos – Verificar, registrar y distribuir resultados, resultados, cuidando los confidenciales

• Ahora …los usuarios ingresan sus datos; en en ambi mbientes en línea éstos se generan desde la fuente original • Gerente … responsable de que los datos estén auto autoririza zado dos, s, sean sean corr correc ecto toss y est estén én comp comple leto toss Introducti Introduction on - page 50

50


Soporte Técnico • Resp Respon onsa sabl blee de los los prog progra rama mado dore ress de sist sistem emas as que que mantienen el software del sistema


51


Administración de Sistemas • Resp Respon onsa sabl blee de man mante tene nerr los los sist sistem emas as de de cómp cómput utoo de ambientes multiusuario, incluyendo LAN´s • Sus deberes incluyen: – – – – –

Agregar y configurar nuevas estaciones de trabajo Establecer cuentas de usuarios Instalar sw general del sistema Prevenir, detectar y corregir divulgación de virus Asignar espacio de almacenamiento masivo


52


Administración de Seguridad • Comi Comien enza za con con el el com compr prom omis isoo de de la la alt altaa ger geren enci ciaa • Esta Esta debe debe ente entend nder er y eva evalu luar ar los los rie riesg sgos os y desarrollar y ejecutar una política escrita que establezca con claridad las normas y procedimientos • Aseg Asegur urar ar que que los los usu usuar ario ioss cum cumpl plan an las las polí polítitica cass corporativas de seguridad y que los controles son adecuados para prevenir accesos no autorizados


53


Administración de Seguridad Funciones principales: • Mant Manten ener er regl reglas as de acce acceso so a dato datoss y demá demáss recu recurs rsos os de TI • Mant Manten ener er segu seguririda dadd y conf confid iden enci cial alid idad ad sobr sobree el otor otorga gami mien ento to y mantenimiento de las claves de usuario y contraseñas • Moni Monito tore rear ar vio viola laci cion ones es de seg segur urid idad ad y toma tomarr acci accion ones es corre correct ctiv ivas as • Revi Revisa sarr y eval evalua uarr per perió iódi dica came ment ntee pol polítític icas as y sug suger eririr camb cambio ioss • Pr Prep epar arar ar y moni monito tore rear ar el el prog progra rama ma de de con conci cien enci ciaa de segu segurid ridad ad par paraa empleados • Probar Probar arquit arquitect ectura ura de seguri seguridad dad para para eval evaluar uar fortal fortaleza ezass y detect detectar ar amenaz amenazas as


54

Estructura Organizacional y Responsabilidades de SI Aseguramiento de Calidad • Aseguramien iento de Calida idad (QA) – Asegurar que personal personal de SI sigue procesos de calidad establecidos – Programas y documentación documentación se adhieran adhieran a estándares y convenciones de nombres • Control de de Ca Calidad (QC) – Pruebas y revisiones revisiones para verificar que el sw está libre de defectos y cubre expectativas del usuario – Hacerse durante las etapas del desarrollo y forzosamente forzosamente antes de liberarlo a producción – Grupo independiente para cumplir con función efectivamente efectivamente – No depender del área de desarrollo desarrollo


55


Administración de Base de Datos • Cust Custod odia ia info inforrmac mación ión de de la la org organ aniz izac ació iónn • Defin Definee y mant mantie iene ne la estr estruc uctur turaa de de los los datos datos en el sist sistem emaa corporativo de BD • Debe Debe comp compre rend nder er a la la emp empre resa sa,, dat datos os de usua usuari rioo y las las relaciones de estos • Resp Respon onsa sabl blee de de la la seg segur urid idad ad y clas clasifi ifica caci ción ón de la info inform rmac ació iónn de los datos compartidos, almacenados en los sistemas de BD • Resp Respon onsa sabl blee del del dise diseño ño real real,, defi defini nició ciónn y mante manteni nimi mien ento to de las las BD corporativas


56


Administración de Base de Datos Funciones principales: • Espe Especi cific ficar ar la la defi defini nici ción ón fís físic icaa de los los dat datos os y cam cambia biarla rla para para su su mejo mejorr desempeño • Sele Selecc ccio iona narr e imp imple leme ment ntar ar her herra rami mien enta tass de de opt optim imiz izac ació iónn de de la la BD BD • Pr Prob obar ar y eval evalua uarr las las her herra rami mien enta tass de de pro progr gram amad ador ores es • Dar Dar sop sopor orte te técn técnic icoo a prog progra rama mado dore ress sob sobre re estr estruc uctu tura ra de la BD • Implem Implement entar ar contro controles les de defini definició ción, n, acceso acceso,, actual actualiza izació ciónn y concur concurren rencia cia • Moni Monito tore rear ar el el uso, uso, rec recop opila ilarr esta estadí díst stic icas as de de dese desemp mpeñ eñoo y ajus ajusta tarr la BD BD • Defi Definir nir e inic iniciar iar los proc proced edim imie ient ntos os de resp respal aldo do y rec recup uper erac ació iónn


57


Administración de Base de Datos

• Debido a que el DBA tiene:

– Herramientas para establecer establecer controles sobre la DB – Capacidad de ignorarlos – Capacidad de accesar accesar todos los datos

• Se deb debee esta establ blec ecer er un un contr control ol est estririct ctoo sobr sobree su su func funció ión, n, med media iant nte: e: – – – –

Separación de funciones funciones Aprobación de Gerencia Gerencia de sus actividades actividades Revisión de registros de acceso por un supervisor supervisor Controles de detección sobre el uso de las herramientas herramientas de la BD No es conveniente limitarles el acceso … por eso se usan controles compensatorios


58


Analista de Sistemas • Diseñ Diseñan an sist sistem emas as basa basado doss en las nece necesi sida dades des del del usu usuar ario io • Part Partic icip ipan an dura durante nte la fase fase inici inicial al del del pro proce ceso so de desa desarr rrol ollo lo • Inter Interpr pret etan an las las nec neces esid idad ades es del del usu usuar ario io y des desar arro rollllan an los los requerimientos y especificaciones funcionales y documentos de alto nivel nivel … base para los program programadores adores


59


Arquitectura de Seguridad • Evalúa lúan la la te tecnología de se seguridad • Di Diseñ señan an perí períme metr tro, o, cont contro roll de acce acceso sos, s, admi admini nist stra raci ción ón de usuarios y otros sistemas • Esta Establ blec ecen en pol polít ític icas as y requ requer erim imie ient ntos os de de segu seguri rida dadd • Aunq Aunque ue pudi pudier eraa ten tener er el mism mismoo rol rol que que el el ana analilist staa de de sis sistem temas as,, las habilidades y conocimientos son totalmente diferentes


60


Programadores de Aplicaciones • Desa Desarr rrol olla larr nue nuevo voss sist sistem emas as y mante mantene nerlrlos os en prod produc ucci ción ón • Tr Trab abaj ajar ar sólo sólo en ambie ambient ntes es de prue prueba ba,, no no pue puede denn ten tener er acce acceso so al ambiente productivo • Entr Entreg egar ar su trab trabaj ajoo a otr otraa áre áreaa par paraa que que los los imp impla lant ntee


61


Programadores de Sistemas • • • • •

Mant Manten ener er el sof softw twar aree del del sis siste tema ma,, incl incluy uyen endo do el S.O S.O.. Tien Tienen en acce acceso so irre irrest stri rict ctoo a todo todo el sist sistem emaa Moni Monito tore rear ar de cer cerca sus sus acti activi vida daddes Debe Debenn llev llevar ar regi regist stro ro de su trab trabaj ajoo Sólo Sólo debe debenn ten tener er acce acceso so a las las bibl biblio iote teca cass del del sw del del sis siste tema ma que mantienen


62

Estructura Organizacional y Responsabilidades de SI Administración de Red • Hay Hay empr empres esaa que que adem además ás de de su Inst Instal alac ació iónn de Pr Proc oces esam amie ient ntoo de Dato Datoss (IPF), (IPF), hacen un uso extensivo extensivo de LAN´s, LAN´s, WAN´s e INALAMBRICA INALAMBRICAS S • Cr Crec ecim imie ient ntoo de de Inte Intern rnet et ha inten intensi sififica cado do esta esta tend tenden enci ciaa • Los IPF deben deben maneja manejarr ahor ahoraa acti activos vos de TI adicio adicional nales es (servi (servidor dores, es, firewa firewalls lls,, servidores servidores proxy, proxy, routers, routers, switche switchess y amplia gama gama de sw) • Las Las rede redess disp disper ersa sass geog geográ ráfic ficam amen ente te,, pued pueden en ten tener er adm admin inis istr trad ador ores es específicos y depender del Gerente de SI o de alguna área usuaria (depende del esquema de control) • Responsable de: – – – – –

Control técnico y administrativo administrativo Correcto funcionamiento funcionamiento de enlaces enlaces Copias de seguridad seguridad del sistema Compras autorizadas autorizadas del Sw y Hw, así como de su correcta instalación instalación Y en algunos caso, caso, también de la seguridad seguridad


63

Segregación de Funciones dentro de TI • Pues Puesto toss y org organ anig igra rama ma pued pueden en vari variar ar ent entre re empr empres esas as • El aud audititor or deb deber eráá dete determ rmin inar ar la la rela relaci ción ón entr entree las las fun funci cion ones es,, resp respon onsa sabi bilid lidad ad y autoridad • Evit Evitaa que que una una sola sola per perso sona na pue pueda da ser ser res respo pons nsab able le de de func funcion iones es div diver ersa sass y críticas • Evita Evita que se cometa cometann erro errores res o apro apropia piacio ciones nes indebi indebidas das difíci difíciles les de detect detectar ar • Pr Prev even enir ir y disu disuad adir ir act actos os frau fraudu dule lent ntos os o mal malic icio ioso soss • Se pu puede re restringir ac acceso a: a: La computadora, Biblioteca de datos de producción, Programas de producción, Documentación de programas, Sistema Operativo y utilerías

• Redu Reduce ce el daño daño pote potenc ncia iall por por acci accion ones es de pers person onas as • En empres empresas as pequeñ pequeñas, as, debe debe habe haberr cont controle roless compen compensat satori orios, os, para para mitig mitigar ar el riesgo de no tener esta segregación • Control Compensatorio = Controles Internos que reducen el riesgo de una debilidad de control


64

Matriz de Control de Segregación de Funciones

Gpo Gpo Cnt Cnt Ana Sis Prog rog Apl Hel Help Des Desk Usua Fin Ing Dat Oper Oper Co Com Adm BD Adm Red Red Adm Sis Adm Seg Gpo Cnt

X

X

X

X

Ana Sis

X

X

X

Prog Apl

X

X

X

X

He lp De sk

X

X

X

Usua Fin

X

X X

X

X

X

X

X

X

X X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

Ope r Com

X

Adm BD

X

X

Adm Re d

X

Adm Sis

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

Adm Se g

X

X

Cint

X

X

X

X

X

X

X

Cnt Cal

X

X

X

X

X

Prog rog Sis Cnt Ca Cal

X

Ing Dat

Prog Sis

X

Cin Cint

X

X

X

X X X

X

X

X

X X

X X

X

X X

X = Combinación de estas funciones puede crear una debilidad potencial de control Esta matriz de control es sólo una guía Introducti Introduction on - page 65

65

Segregación de Funciones dentro de TI Controles • Autoriz rización ión de Transaccion iones – Responsabilidad Responsabilidad del usuario usuario – Relacionada con el nivel particular particular de responsabilidad responsabilidad

• Custodia de Activos – Determinar y asignar asignar debidamente debidamente – Propiedad de datos asignada a un un usuario – El propietario propietario asignará niveles de autorización autorización

• Acceso a los Datos – Ambiente físico para impedir impedir acceso no autorizado a equipos y datos – Seguridad de sistema y aplicaciones son capas capas adicionales para impedir acceso a datos – Conexiones externas es preocupación creciente creciente desde Internet


66

Segregación de Funciones dentro de TI Controles • Formularios de de Au Autorización – – – – –

Formularios de autorización autorización para para definir derechos derechos de acceso de los empleados empleados Papel o Electrónicos Electrónicos Ser debidamente debidamente evidenciados evidenciados con aprobación aprobación de Gerencia Usar catálogo de firmas firmas para cotejarlas Privilegios de acceso revisados revisados periodicamente periodicamente (actualizados y apropiados) apropiados)

• Tablas de de Au Autorización de de Us Usuario – – – –

Con base en los formularios formularios de autorización, autorización, definir quién quién está autorizado para para actualizar, modificar, eliminar y revisar datos A nivel sistema, transacción transacción o campo Protegerlas contra acceso acceso no autorizado, vía contraseñas contraseñas o encripción encripción Registrar la actividad actividad de todos los usuarios usuarios e investigar lasa excepciones excepciones


67

Segregación de Funciones dentro de TI Controles compensatorios • Pistas de Auditoria – Ayudan a SI y Auditoria Auditoria a trazar el flujo de una transacción, transacción, desde originen hasta actualización – Pueden ser un control control compensatorio aceptable aceptable en caso de ausencia de separación de funciones – Permitir identificar quién inició la transacción, hora, fecha, fecha, tipo de ingreso, campos de información contenida y archivos que actualizó • Conciliación – También responsabilidad del del usuario – A veces, el Grupo de Control puede realizarlas de manera manera limitada vía cifras control – Aumenta nivel de confianza confianza sobre el proceso exitoso de una aplicación y el correcto balance de los datos


68

Segregación de Funciones dentro de TI Controles compensatorios •

Reporte de Excepción

– Supervisarlo y dejar dejar evidencia de de su revisión – Asegurarse de que que fue tratada debidamente debidamente y corregida oportunamente oportunamente •

Registros de transacciones (logs)

– Manual o automático •

Revisione Revisiones s de supervisió supervisión n

– Através de observación, observación, investigación o a distancia •

Revisione Revisiones s independie independientes ntes

– Para compensar compensar errores o fallas en los procedimientos procedimientos prescritos – Cuando las funciones no pueden ser segregadas debidamente debidamente


69

Estructura de la Gerencia de Proyectos • • • • • • •

Un pro proye yect ctoo pued puedee ser ser inic inicia iado do des desde de cua cualq lquie uierr part partee de la la orga organi niza zaci ción ón Es un es esfuerzo de un una sola vez Con Con obje objetitivo vo o prod produc ucto to y fech fechas as espe especí cífifica cass Clasific ficados se según su su pr priorida idad El gerente no ne necesitar ser de TI Debe Debe tene tenerr con contr trol ol total total y asi asign gnar arle le los los rec recur urso soss apr aprop opiad iados os Los Los audi auditor tores es de TI pued pueden en ser ser ases asesor ores es en cont contro rol.l. Pued Pueden en hace hacerr revisión independiente y objetiva para asegurar nivel de dedicación de los involucrados


70

Estructura de la Gerencia de Proyectos Gerente Patrocinador del Proyecto Control de Calidad

Comité Gerencia del Usuario Gerente del Proyecto

Desarrollo de Sistemas

Aplicación / Análisis de Sistemas

Programadores

Infraestructura Técnica

Usuarios

Usuarios Claves

Soporte de Software


Soporte de Hardware

Oficial de Seguridad

Soporte de Red

71

Auditoria de la Administración, Planeación y Organización de SI • Algu Alguno noss ind indic icad ador ores es de prob proble lemas mas pote potenci ncial ales es en la Inst Instal alac ació iónn de Procesamiento de Información – Actitudes desfavorables del usuario final – Costos excesivos – Proyectos demorados – Rotación elevada – Personal inexperto – Errores frecuentes en Hw y Sw – Lista excesiva de espera de solicitudes de usuarios – Tiempo de respuesta del computador demorado


72

Auditoria de la Administración, Planeación y Organización de SI • Problemas pot potenciales … continuación – Numerosos proyectos de desarrollo abortados o suspendidos – Compras de Hw/Sw sin soporte o no autorizadas – Frecuentes ampliaciones de capacidad de Hw/Sw – Reportes de excepciones extensos – Reportes de excepciones a los que no se le dio seguimiento – Poca motivación – Ausencia de planes de reemplazo – Confianza de uno o dos miembros claves del personal – Falta de entrenamiento adecuado


73

Auditoria de la Administración, Planeación y Organización de SI

Revisión de Documentación Presupuestos de TI son evidencia de • Las Estratégias, Planes y Presupuestos PLANEACION Y CONTROL sobre ambiente de SI • Las Políticas de Seguridad provee la norma para cumplir – Establece la posición de de la empresa respecto a los riesgos de seguridad seguridad – Debe identificar quién es el responsable responsable de la salvaguarda salvaguarda de todos los activos de TI – Establecer medidas preventivas para protegerlos protegerlos y las acciones contra los transgresores – Es un documento confidencial • El Organigrama (cuadros organizativos de funcionamiento) • Pr Prov ovee eenn ent enten endi dimi mien ento to de líne líneas as de subordinación • Ilustran la división de responsabilidades y el grado de segregación de funciones


74


Revisión de Documentación • La Descripción de Puestos • Define Definenn funci funcione oness y resp respons onsabi abilid lidade adess de cada cada cargo cargo • Proveen Proveen la la capacid capacidad ad de de agrupar agrupar los puestos puestos similares similares en catego categoría ría para comprender las cargas de trabajo • Indica Indicann el grado grado segreg segregaci ación ón de funci funcione oness y ayudan ayudan a identi identific ficar ar funciones de posible conflicto – Evaluar que la subordinación subordinación esté basada en conceptos conceptos correctos del del negocio y no afecten la segregación de funciones Reportes del del Comité Comité de Seguim Seguimiento iento dan información sobre los • Los Reportes nuevos proyectos. Son revisados por la alta gerencia y divulgados entre las unidades de negocio


75


Revisión de Documentación • • • • •

Los Procedimientos de Desarrollo de Sistemas y De Cambio de Programas, proveen un marco de cómo se deben estar realizando Los Procedimientos de Operaciones describen sus responsabilidades responsabilidades Los Manuales de Recursos Humanos proveen la reglamentación de cómo se espera que se conduzcan Procedimientos de aseguramiento de calidad , proveen marco y estándares est ándares que pueden ser seguidos por TI De los los do docume cument ntoos re revisa visado dos, s, de determ termin inar ar:: – ¿Creados como lo solicitó y autorizó la Gerencia? – ¿Vigentes y actualizados? actualizados?


76


Entrevistar y Observar al Personal en el Desempeño de sus Funciones

Hacerlo ayuda a identificar: • Verdaderas Funciones – La persona que en realidad hace el trabajo, es la responsable responsable y autorizada – Oportunidad de ser testigo testigo de cómo se entienden entienden y prácticas las políticas políticas y procedimientos

• Procesos / Procedimientos reales

– Permite obtener evidencia de cumplimiento y observar observar desviaciones

• Conciencia de la Seguridad – Para verificar el entendimiento y la práctica de las medidas preventivas y de detección para salvaguardar activos y datos • Relaciones de Subordinados – Para asegurar que las responsabilidades responsabilidades y separación separación de funciones son son adecuadas y puestas en práctica Y en general, para saber si el personal cuenta con habilidades requeridas para su trabajo; factor importante para una operación efectiva y eficiente. Introducti Introduction on - page 77

77


Revisión de los Compromisos Contractuales

• Las etap tapas para los contra tratos de Hw y Sw incluyen: – – – – – –

Desarrollo de los requerimientos de contratación Proceso de licitación Proceso de selección selección Aceptación Mantenimiento Cumplimiento

• Cada Cada etap etapaa res respa pald ldad adaa por por docu docume ment ntac ació iónn leg legal al • Suje Sujeto to a auto autori riza zaci ción ón de de la la Gere Gerenc ncia ia,, quié quiénn deb debee esta estarr involucrado en el proceso • Revis Revisió iónn opo oport rtun unaa de de una una mues muestr traa de de con contr trato atoss par paraa com compr prob obar ar su cumplimiento


78

Capítulo 2 = 11% del Examen 10%

15%

11% 16%

13 10% 25%

(Aproximada (Aproximadamente mente 22 22 preguntas preguntas - 26 minutos minutos del del examen) examen) Introducti Introduction on - page 79

79

Lic. Rubén Quintero Ubando, CISA Subdirector en el área de TI Bansefi PMO Proyecto Integra-T Tels. 5481-3333, 5270-5163, 04455-1952-2001 [email protected]


80

Gerencia de Ti

Recommend Documents